Re: Leute von "browsen" auf dem Filesystem vernhalten

From: Bernd Walter <ticso(at)cicely5.cicely.de>
Date: Mon, 19 Feb 2001 15:42:25 +0100



On Sun, Feb 18, 2001 at 08:53:36PM +0100, turbo23 wrote:


> Hallo


> 


> Ich möchte unterbinden, dass User mit einer Shell Login auf dem System 


> "browsen" koennen. Ich weiss das dies mit einer chroot Umgebung loesbar 


> wäre. Ich suche jedoch nach einer anderen lösung. Eine die auch weniger 


> Fetsplattenplatz braucht. Die restricted Shell ist auch nicht genau das, 


> was ich suche. Zum einen kann der User nicht mal mehr in seinem /home/user/ 


> in das home/user/public_html erreichen. Desweiteren kann er trotzdem Daten 


> aus anderen Verzeichnisen laden, sofern er den genauen Path kennt. Witzig 


> ist auch, dass er einfach eine Shell aufrufen muss, um dann die restricted 


> shell verlassen zu können.



Eine restricted shell macht nur Sinn wenn diese richitg konfiguriert wird.


Sprich du musst die erlaubten Befehle definieren.


Eine nicht restricted shell gehoert definitiv nicht zu den erlaubten.


Ueblicherweise gschieht das mit der definition einer Variablen, die du


z.B. in der /etc/login.conf setzen kannst.



Das hindert aber nicht daran das eine Anwendung wieder auf solche Dateien


zugreifen koennte.


Hier gilt es sich gut zu ueberpruefen, ob eine Anwendung hier den Ausbruch


ermoeglicht.



> Gibt es keine andere Möglichkeit die Leute in festzuhalten? Sie sollten 


> aber die Möglichkeit haben  ihr public_html weiter zu benutzen, dateien in 


> ihrem dir zu editieren etc.



Der Punkt ist ja das der Zugriff fuer everyone erlaubt ist.


Wenn du das nicht willst musst du halt den Zugriff darauf abschalten, was


in einigen Faellen jedoch nicht ganz einfach sein duerfte.



Moeglicherweise sind Filesystem ACLs was fuer dich.


Damit kannst du wesentlich genauer definieren wer auf welche


Datei/Verzeichniss zugriff hat.


Dazu musst du folgendes in die kernel config aufnehmen:


options FFS_EXTATTR


An Befehlen gibt es dazu folgende:


extattrctl(8)            - manage FFS extended attributes


getextattr(8)            - retrieve a named extended attribute


setextattr(8)            - set a named extended attribute



-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Mon 19 Feb 2001 - 15:42:19 CET













search this site